Z6尊龙凯时

首页 > 清静研究 > 研究报告 > 清静误差剖析

Modbus网关误差(CVE-2021-4161)剖析

宣布时间 2022-01-17

一、误差概述

近期，，，，，Z6尊龙凯时ADLab在工业控制误差监控中发明工控厂商Moxa的Modbus网关保存高危误差（CVE-2021-4161），，，，，ICS-CERT的评分高达9.8。。。。。。针对该高危误差，，，，，ADLab研究员第一时间举行了详细剖析和验证。。。。。。

1.1 基本信息

凭证ICS-CERT的误差通告，，，，，该误差基本信息如下：

受影响的装备：

MGate MB3180/MB3280/MB3480 Series Protocol Gateways

受影响的版本：

MGate MB3180 Series: Firmware Version 2.2 or lower

MGate MB3280 Series: Firmware Version 4.1 or lower

MGate MB3480 Series: Firmware Version 3.2 or lower

误差可使用性：远程、低重漂后

CVSS v3评分：9.8

1.2 误差形貌

凭证ICS-CERT误差通告的形貌，，，，，该误差类型属于敏感信息明文传输。。。。。。受影响装备的固件保存误差，，，，，攻击者可以通过嗅探网络流量来窃取息争密装备登录凭证的详细信息，，，，，从而获得对目的装备http web server的admin权限。。。。。。

ICS-CERT Advisory中对误差的形貌.png

图1 ICS-CERT Advisory中对误差的形貌

该误差的CVSS3特征为(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)。。。。。。如图2所示，，，，，ICS-CERT以为该误差可远程使用，，，，，同时对完整性（Integrity）和可用性（Availability）的影响均为“High”。。。。。。

ICS-CERT 对CVE-2021-4161 CVSS(3.0)评分.png

图2 ICS-CERT 对CVE-2021-4161 CVSS(3.0)评分

以前面的误差形貌可知，，，，，该误差是一个不清静的凭证传输导致凭证泄露的误差。。。。。。那么，，，，，为何ICS-CERT以为这样一个误差其对完整性和可用性的影响为“High”呢。。。。。。带着这个疑惑，，，，，我们在MGate MB3180装备上对该误差举行了剖析和验证。。。。。。

二、误差剖析

凭证ICS-CERT对误差的形貌，，，，，我们一最先推测该系列装备的web登录接纳了Basic认证。。。。。。Basic认证是低性能装备web server所常用的要领，，，，，其险些没有清静性，，，，，直接通过base64解码登录流量的认证信息即可获得用户名密码。。。。。。

凭证上述思绪，，，，，我们对MB3180的登录流量举行了剖析，，，，，如图3所示。。。。。。MB3180的Web认证并没有接纳Basic认证方法。。。。。。

MB3180 Web登录POST请求.png

图3 MB3180 Web登录POST请求

继续对登录请求举行剖析，，，，，发明请求中的表单数据包括了“account”、“password”等字段信息。。。。。。如图4所示：

MB3180 Web登录POST请求表单数据.png

图4 MB3180 Web登录POST请求表单数据（用户名admin,密码1234567）

视察表单中的数据可知，，，，，account和password没有常见哈希运算的特征。。。。。。多次登录的表单数据如下所示：

使用差别用户名密码登录的POST表单部分数据纪录.png

表 1 使用差别用户名密码登录的POST表单部分数据纪录

从上表数据还可以发明如下特征：

account和password和输入长度是相关的；；；

account和password和FakeChallenge是相关的。。。。。。

后续对登录页面的源码剖析找到了上述特征。。。。。。在登录页的js代码中，，，，，setInfo函数认真天生登录信息并以表单方法提交，，，，，如下所示：

MB3180的setInfo函数.png

图5 MB3180的setInfo函数

显然，，，，，登录数据的清静性取决于函数SetSHA256，，，，，其代码如下所示：

MB3180的SetSHA256函数.png

图6 MB3180的SetSHA256函数

剖析SetSHA256函数的逻辑可知，，，，，该函数并没有真正实现SHA256的功效，，，，，而是使用了异或方法来处置惩罚输入数据。。。。。。详细来讲，，，，，SetSHA256函数的返回值是xor(m,n)之后的效果，，，，，而m泉源于account/password，，，，，n则泉源于FakeChallenge。。。。。。显而易见，，，，，在FakeChallenge被泄露的条件下，，，，，account/password是可还原的。。。。。。

至此，，，，，该误差的原理就基本清晰了。。。。。。MB3180在处置惩罚登录页面的用户名和密码加密时，，，，，未准确实现SHA256的运算，，，，，同时web server默认使用http协议。。。。。。因此，，，，，在可嗅探到该装备登录的http报文时，，，，，便可通过解密表单数据来获得登录的用户名和密码。。。。。。

三、误差验证

凭证上述误差剖析效果，，，，，我们编写相识密剧本对该误差举行了验证。。。。。。为简化验证历程，，，，，我们直接使用Wireshark抓取了登录MB3180 Web Server的http流量，，，，，然后编写剧本对该流量举行剖析并解密。。。。。。

在抓包历程中，，，，，我们举行了两次登录，，，，，用户名均为admin，，，，，密码则使用了一个过失的密码（admin）和一个准确的密码（moxa）。。。。。。

$使用admin\admin登录的表单数据.png$

图7 使用admin\admin登录的表单数据

$使用admin\moxa登录的表单数据.png$

图8 使用admin\moxa登录的表单数据

验证效果如图9所示，，，，，可从登录流量解密获得用户名和密码信息：

解密剧本验证.png

图9 解密剧本验证

四、误差危害

在工业控制情形中，，，，，有大宗的装备并不具备TCP/IP协议栈，，，，，要把这些装备接入基于IT手艺的数字化网络就需要借助协议转换网关来完成。。。。。。MGate MB系列Modbus网关装备的功效即是把RS485类的工业装备接入到TCP/IP网络。。。。。。这类网关装备误差的危害通常不但仅影响该装备自身，，，，，更直接影响其背后支持的现场装备。。。。。。因此，，，，，NVD对该误差给出了两种CVSS3评分，，，，，如下所示。。。。。。

NVD和ICS-CERT评分区别.png

图10 NVD和ICS-CERT评分区别

其中，，，，，NVD基于NIST的视角给出了7.5分，，，，，而ICS-CERT基于工业视角给出了9.8高分。。。。。。这两种评分的差别就在于：从IT角度看，，，，，该误差不可修改该装备的底层数据，，，，，也不可使装备阻止运行，，，，，因此不影响该装备的完整性和可用性；；；但从工业角度看，，，，，通过该误差获得治理员账号后可以修改网关的设置，，，，，进而使得该装备支持的工业控制营业爆发变换甚至是阻止，，，，，以是影响了工业控制营业的完整性和可用性。。。。。。

可见，，，，，同样类型的网络清静误差，，，，，其在工业控制辖档挽域的影响和危害通常要高于古板IT营业领域。。。。。。因此，，，，，在处置惩罚工业控制系统网络清静误差时，，，，，需要思量到工控营业情形的特殊性，，，，，连系对工控营业的影响来综合评判误差的危害才华越发客观真实的反应误差的影响力。。。。。。

五、修复建议

现在，，，，，官方未宣布该误差的修复补�。。。。。。�，，，，但提供了误差缓解建议：

建议将受影响装备的Web Server会见的协议设置为https，，，，，阻止明文传输表单数据；；；

建议参照Moxa SecurityHardening Guide for MGate MB3000 Series中的方法安排装备。。。。。。

别的，，，，，针对工业控制系统，，，，，CISA提供了如下的通用建议：

只管镌汰在公网袒露工控装备或者系统；；；

将控制系统网络和远程装备置于防火墙之后，，，，，并和办公网络隔离；；；

当需要远程会见时，，，，，接纳类型VPN的清静会见方法。。。。。。

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? Z6尊龙凯时版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】